DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 061004 Pemantauan Log Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Log Audit yang merekodkan semua aktiviti perlu dihasilkan dan disimpan untuk tempoh masa yang dipersetujui bagi membantu siasatan dan memantau kawalan capaian; b) Prosedur untuk memantau penggunaan kemudahan memproses maklumat perlu diwujud dan hasilnya perlu dipantau secara berkala; c) Kemudahan merekod dan maklumat log perlu dilindungi daripada diubahsuai dan sebarang capaian yang tidak dibenarkan; d) Aktiviti pentadbiran dan operator sistem perlu direkodkan; e) Kesalahan, kesilapan dan/atau penyalahgunaan perlu direkodkan log, dianalisis dan diambil tindakan sewajarnya; dan f) Waktu yang berkaitan dengan sistem pemprosesan maklumat dalam MPT atau domain keselamatan perlu diselaraskan dengan satu sumber waktu yang dipersetujui. Tindakan: Bahagian Teknologi Maklumat dan Pentadbir Sistem ICT DKICT VERSI 1.1 1 JANUARI 2023 50 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING BIDANG 07 DASAR KAWALAN CAPAIAN 0701 Dasar Kawalan Capaian Objektif adalah mengawal capaian ke atas maklumat. 070101 Keperluan Kawalan Capaian Capaian kepada proses dan maklumat hendaklah dikawal mengikut keperluan keselamatan dan fungsi kerja pengguna yang berbeza. Ia perlu direkodkan, dikemas kini dan menyokong dasar kawalan capaian pengguna sedia ada. Peraturan kawalan capaian hendaklah diwujudkan, didokumen dan dikaji semula. Perkara-perkara yang perlu dipatuhi adalah seperti berikut a) Kawalan capaian ke atas aset ICT mengikut keperluan keselamatan dan peranan pengguna; b) Kawalan capaian ke atas perkhidmatan rangkaian dalaman dan luaran; c) Keselamatan maklumat yang dicapai menggunakan kemudahan atau peralatan mudah alih; dan d) Kawalan ke atas kemudahan pemprosesan maklumat. Tindakan: Bahagian Teknologi Maklumat dan ICTSO 0702 Pengurusan Capaian Pengguna Objektif adalah untuk mengawal capaian pengguna ke atas aset ICT MPT. 070201 Akaun Pengguna Setiap pengguna adalah bertanggungjawab ke atas sistem ICT yang digunakan bagi mengenal pasti pengguna dan aktiviti yang dilakukan, perkara-perkara berikut hendaklah dipatuhi: a) Akaun yang diperuntukkan oleh MPT sahaja boleh digunakan; b) Akaun pengguna mestilah unik dan hendaklah mencerminkan identiti pengguna; c) Akaun pengguna yang diwujudkan pertama kali akan diberi tahap capaian paling minimum iaitu untuk melihat dan membaca sahaja d) Sebarang perubahan tahap capaian hendaklah mendapat kelulusan daripada pemilik sistem ICT terlebih dahulu; e) Pemilikan akaun pengguna bukanlah hak mutlak seseorang dan ianya tertakluk kepada peraturan MPT. Akaun boleh ditarik balik jika penggunaanya melanggar peraturan; DKICT VERSI 1.1 1 JANUARI 2023 51 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING f) Penggunaan akaun milik orang lain atau akaun yang dikongsi bersama adalah dilarang; dan tertakluk kepada peraturan MPT. g) Pentadbir Sistem ICT boleh membeku dan menamatkan akaun pengguna atas sebab-sebab berikut: i. Pengguna yang bercuti panjang dalam tempoh waktu melebihi dua (2) minggu; ii. Bertukar bidang tugas kerja; iii. Bertukar ke agensi lain; iv. Bersara; atau v. Ditamatkan perkhidmatan. Tindakan: Semua dan Pentadbir Sistem ICT 070202 Hak Capaian Penetapan dan penggunaan ke atas hak capaian perlu diberi kawalan dan penyeliaan yang ketat berdasarkan keperluan skop tugas. Tindakan : Pentadbir Sistem ICT 070203 Pengurusan Kata Laluan Pemilihan, penggunaan dan pengurusan kata laluan sebagai laluan utama bagi mencapai maklumat dan data dalam sistem mestilah mematuhi amalan terbaik serta prosedur yang ditetapkan oleh MPT seperti berikut: a) Dalam apa jua keadaan dan sebab, kata laluan hendaklah dilindungi dan tidak boleh dikongsi dengan sesiapa pun; b) Pengguna hendaklah menukar kata laluan apabila disyaki berlakunya kebocoran kata laluan atau dikompromi; c) Panjang kata laluan mestilah sekurang-kurangnya dua belas (12) aksara dengan gabungan aksara, angka dan aksara khusus; d) Kata laluan hendaklah diingat dan TIDAK BOLEH dicatat, disimpan atau didedahkan dengan apa cara sekalipun; e) Kata laluan windows dan screen saver hendaklah diaktifkan terutamanya pada komputer yang terletak di ruang guna sama; f) Kata laluan hendaklah tidak dipaparkan semasa input, dalam laporan atau media lain dan tidak DKICT VERSI 1.1 1 JANUARI 2023 52 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING boleh dikodkan di dalam program; g) Kuatkuasakan pertukaran kata laluan semasa login kali pertama atau selepas login kali pertama atau selepas kata laluan diset semula; h) Kata laluan hendaklah berlainan daripada pengenalan identiti pengguna. i) Tentukan had masa pengesahan selama dua (2) minit (mengikut kesesuaian sistem) dan selepas had itu, sesi ditamatkan; j) Kata laluan hendaklah ditukar selepas 90 hari bagi Pentadbir sistem dan 180 hari bagi Warga MPT atau selepas tempoh masa yang bersesuaian; dan k) Mengelakkan penggunaan semula kata laluan yang baru digunakan. Tindakan: Semua dan Pentadbir Sistem ICT 070204 Clear Desk dan Clear Screen Semua maklumat dalam apa jua bentuk media hendaklah disimpan dengan teratur dan selamat bagi mengelakkan kerosakan, kecurian atau kehilangan. Clear Desk dan Clear Screen bermaksud tidak meninggalkan bahan-bahan yang sensitif terdedah sama ada atas meja pengguna atau di paparan skrin apabila pengguna tidak berada di tempatnya. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Menggunakan kemudahan password screen saver atau logout apabila meninggalkan komputer; b) Menyimpan bahan-bahan maklumat rahsia dan rahsia besar atau maklumat rahsia rasmi di dalam laci atau kabinet fail yang berkunci; dan c) Memastikan semua dokumen diambil segera dari pencetak, pengimbas, mesin faks dan mesin fotostat. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 53 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0703 Kawalan Capaian Rangkaian Objektif adalah menghalang capaian tidak sah dan tanpa kebenaran ke atas perkhidmatan rangkaian. 070301 Capaian Rangkaian Kawalan capaian perkhidmatan rangkaian hendaklah dijamin selamat dengan: a) Menempatkan atau memasang antara muka yang bersesuaian di antara rangkaian MPT, rangkaian agensi lain dan rangkaian awam; b) Mewujudkan dan menguatkuasakan mekanisme untuk pengesahan pengguna dan penggunaannya; dan c) Memantau dan menguatkuasakan kawalan capaian pengguna terhadap perkhidmatan rangkaian ICT. Tindakan: Pentadbir Rangkaian dan ICTSO 070302 Capaian Internet Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Penggunaan Internet di MPT hendaklah dipantau secara berterusan oleh Pentadbir Rangkaian bagi memastikan penggunaannya untuk tujuan capaian yang dibenarkan sahaja. Kewaspadaan ini akan dapat melindungi daripada kemasukan malicious code, virus dan bahan-bahan yang tidak sepatutnya ke dalam rangkaian MPT; b) Kaedah Content Filtering mestilah digunakan bagi mengawal Internet mengikut fungsi kerja dan pemantauan tahap pematuhan; c) Penggunaan teknologi (packet shaper) untuk mengawal aktiviti (video conferencing, video streaming, chat, downloading) adalah perlu bagi menguruskan penggunaan jalur lebar (bandwidth) yang maksimum dan lebih berkesan; d) Penggunaan Internet hanyalah untuk kegunaan rasmi sahaja. Pengurus ICT berhak menentukan pengguna yang dibenarkan menggunakan Internet atau sebaliknya; e) Laman yang dilayari hendaklah hanya yang berkaitan dengan bidang kerja dan terhad untuk tujuan yang dibenarkan oleh Ketua Jabatan/pegawai yang diberi kuasa; f) Bahan yang diperoleh dari Internet hendaklah ditentukan ketepatan dan kesahihannya. Sebagai amalan terbaik, rujukan sumber Internet hendaklah dinyatakan; DKICT VERSI 1.1 1 JANUARI 2023 54 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING g) Bahan rasmi hendaklah disemak dan mendapat pengesahan daripada Pengarah Bahagian sebelum dimuat naik ke Internet; h) Pengguna hanya dibenarkan memuat turun bahan yang sah seperti perisian yang berdaftar dan di bawah hak cipta terpelihara; i) Sebarang bahan yang dimuat turun dari Internet hendaklah digunakan untuk tujuan yang dibenarkan oleh MPT; j) Hanya pegawai yang mendapat kebenaran sahaja boleh menggunakan kemudahan perbincangan awam seperti newsgroup dan bulletin board. Walau bagaimanapun, kandungan perbincangan awam ini hendaklah mendapat kelulusan daripada CIO terlebih dahulu tertakluk kepada dasar dan peraturan yang telah ditetapkan; k) Penggunaan modem untuk tujuan sambungan ke Internet tidak dibenarkan sama sekali; dan l) Pengguna adalah dilarang melakukan aktiviti-aktiviti seperti berikut: i. Memuat naik, memuat turun, menyimpan dan menggunakan perisian tidak berlesen dan sebarang aplikasi seperti permainan elektronik, video, lagu yang boleh menjejaskan tahap capaian internet; dan ii. Menyedia, memuat naik, memuat turun dan menyimpan material, teks ucapan atau bahan-bahan yang mengandungi unsur-unsur lucah. Tindakan: Pentadbir Rangkaian, Pengurus ICTdan Semua DKICT VERSI 1.1 1 JANUARI 2023 55 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0704 Kawalan Capaian Sistem Pengoperasian Objektif adalah menghalang capaian tidak sah dan tanpa kebenaran ke atas sistem pengoperasian. 070401 Capaian Sistem Pengoperasian Kawalan capaian sistem pengoperasian perlu bagi mengelakkan sebarang capaian yang tidak dibenarkan. Kemudahan keselamatan dalm sistem operasi perlu digunakan untuk menghalang capaian ke sumber sistem komputer. Kemudahan ini juga perlu bagi: a) Mengenal pasti identiti, terminal atau lokasi bagi setiap pengguna yang dibenarkan; b) Merekodkan capaian yang berjaya dan gagal. Kaedah-kaedah yang digunakan MPT hendaklah menyokong perkara- perkara berikut: a) Mengesahkan pengguna yang dibenarkan; b) Mewujudkan jejak audit ke atas semua capaian sistem-sistem pengoperasian terutama pengguna bertaraf super user; dan c) Menjana amaran (alert) sekiranya berlaku perlanggaran ke atas peraturan keselamatan sistem. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Mengawal capaian ke atas sistem pengoperasian menggunakan prosedur log on yang terjamin; b) Mewujudkan satu pengenalan diri (ID) yang unik untuk setiap pengguna dan hanya digunakan oleh pengguna berkenaan sahaja; c) Menetapkan tempoh penamatan sesi penggunaan sistem/aplikasi adalah selama 15 minit auto logoff bagi pengguna tidak aktif atau idle; dan d) Mengehadkan tempoh sambungan ke sesebuah aplikasi berisiko tinggi. Tindakan: Pentadbir Sistem ICT dan ICTSO DKICT VERSI 1.1 1 JANUARI 2023 56 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 070402 Kad Pintar Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Penggunaan kad pintar Kerajaan Elektronik (Kad EG) hendaklah digunakan bagi capaian sistem Kerajaan Elektronik yang dikhususkan; b) Kad pintar hendaklah disimpan di tempat selamat bagi mengelakkan sebarang kecurian atau digunakan oleh pihak lain; c) Perkongsian kad pintar untuk sebarang capaian sistem adalah tidak dibenarkan sama sekali. Kad pintar yang salah kata laluan sebanyak tiga (3) kali cubaan akan disekat; dan d) Sebarang kehilangan, kerosakan dan kata laluan disekat perlu dimaklumkan kepada Bahagian Teknologi Maklumat, MPT. Tindakan: Semua 0705 Kawalan Capaian Aplikasi dan Maklumat Objektif adalah untuk menghalang capaian tidak sah dan tanpa kebenaran ke atas maklumat yang terdapat didalam sistem aplikasi. 070501 Capaian Aplikasi dan Maklumat Bertujuan melindungi sistem aplikasi dan maklumat sedia ada dari sebarang bentuk capaian yang tidak dibenarkan yang boleh menyebabkan kerosakan. Bagi memastikan kawalan capaian sistem dan aplikasi adalah kukuh perkara-perkara berikut hendaklah dipatuhi: a) Pengguna hanya boleh menggunakan sistem maklumat dan aplikasi yang dibenarkan mengikut tahap capaian dan keselamatan maklumat yang telah ditentukan; b) Setiap aktiviti capaian sistem maklumat dan aplikasi pengguna hendaklah direkodkan (sistem log); c) Mengehadkan capaian sistem dan aplikasi kepada tiga (3) kali percubaan. Sekiranya gagal, akaun atau kata laluan pengguna akan disekat; d) Memastikan kawalan sistem rangkaian adalah kukuh dan lengkap dengan ciri-ciri keselamatan bagi mengelakkan aktiviti atau capaian yang tidak sah; e) Menetapkan tempoh penamatan sesi penggunaan sistem/aplikasi adalah selama 15 minit auto logoff bagi pengguna tidak aktif atau idle; dan DKICT VERSI 1.1 1 JANUARI 2023 57 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING f) Capaian sistem maklumat dan aplikasi melalui jarak jauh adalah digalakkan. Walau bagaimanapun, penggunaannya terhad kepada perkhidmatan yang dibenarkan sahaja. Tindakan: Pentadbir Sistem ICT dan ICTSO 0706 Peralatan Mudah Alih dan Kerja Jarak Jauh Objektif adalah untuk memastikan keselamatan maklumat semasa menggunakan peralatan mudah alih dan kemudahan kerja jarak jauh. 070601 Peralatan Mudah Alih Perkara yang perlu dipatuhi adalah peralatan mudah alih hendaklah disimpan dan dikunci di tempat yang selamat apabila tidak digunakan. Tindakan: Semua 070602 Kerja Jarak Jauh Perkara yang perlu dipatuhi adalah tindakan perlindungan hendaklah diambil bagi menghalang kehilangan peralatan, pendedahan maklumat dan capaian tidak sah serta salah guna kemudahan. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 58 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING BIDANG 08 PEROLEHAN, PEMBANGUNAN DAN PENYELENGGARAAN SISTEM 0801 Keselamatan Dalam Membangunkan Sistem dan Aplikasi Objektif adalah untuk memastikan sistem yang dibangunkan sendiri atau pihak ketiga mempunyai ciri- ciri keselamatan ICT yang bersesuaian. 080101 Keperluan Keselamatan Sistem Maklumat Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Perolehan, pembangunan, penambahbaikan dan penyelenggaraan sistem hendaklah mengambil kira kawalan keselamatan bagi memastikan tidak wujudnya sebarang ralat yang boleh mengganggu pemprosesan ketepatan maklumat; b) Ujian keselamatan hendaklah untuk menyemak pengesahan dan integriti data yang dimasukkan, sistem pemprosesan untuk menentukan samada program berjalan dengan betul dan sempurna dan; sistem output untuk memastikan data yang telah diproses adalah tepat; c) Aplikasi perlu mengandungi semakan pengesahan (validation) untuk mengelakkan sebarang kerosakan maklumat akibat kesilapan pemprosesan atau perlakuan yang disengajakan; dan d) Semua sistem yang dibangunkan samada secara dalaman atau sebaliknya hendaklah diuji terlebih dahulu bagi memastikan sistem berkenaan memenuhi keperluan keselamatan yang telah ditetapkan sebelum digunakan. Tindakan: Pemilik Sistem, Pentadbir Sistem ICT dan ICTSO DKICT VERSI 1.1 1 JANUARI 2023 59 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 080102 Pengesahan Data Input dan Output Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Data input bagi aplikasi perlu disahkan bagi memastikan data yang dimasukkan betul dan bersesuaian; dan b) Data output daripada aplikasi perlu disahkan bagi memastikan maklumat yang dihasilkan adalah tepat. Tindakan: Pemilik Sistem, Pentadbir Sistem ICT 0802 Kawalan Kriptografi 080201 Enkripsi Pengguna hendaklah membuat enkripsi (encryption) ke atas maklumat berperingkat maklumat rahsia rasmi pada setiap masa. Tindakan: Semua 080202 Tandatangan Digital Penggunaan tanda tangan digital adalah dimestikan kepada semua pengguna khususnya mereka yang menguruskan transaksi maklumat rahsia rasmi secara elektronik. Tindakan: Semua 080203 Pengurusan Infrastruktur Kunci Awam (PKI) Pengurusan ke atas PKI hendaklah dilakukan dengan berkesan dan selamat bagi melindungi kunci berkenaan dari diubah, dimusnah dan didedahkan sepanjang tempoh sah kunci tersebut. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 60 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0803 Keselamatan Fail Sistem Objektif adalah untuk memastikan supaya fail sistem dikawal dan dikendalikan dengan baik dan selamat. 080301 Kawalan Fail Sistem Objektif adalah untuk melindungi kerahsiaan, integriti dan kesahihan maklumat melalui kawalan kriptografi. Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Pentadbir Sistem ICT atau pegawai yang berkenaan dan mengikut prosedur yang telah ditetapkan; b) Kod atau atur cara sistem yang telah dikemas kini hanya boleh dilaksanakan atau digunakan selepas diuji; c) Mengawal capaian ke atas kod atau atur cara program bagi mengelakkan kerosakan, pengubahsuaian tanpa kebenaran, penghapusan dan kecurian; d) Data ujian perlu dipilih dengan berhati-hati, dilindungi dan dikawal; dan e) Mengaktifkan audit log bagi merekodkan semua aktiviti pengemaskinian untuk tujuan statistik, pemulihan dan keselamatan. Tindakan: Pemilik Sistem dan Pentadbir Sistem ICT DKICT VERSI 1.1 1 JANUARI 2023 61 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0804 Keselamatan Dalam Proses Pembangunan dan Sokongan Objektif adalah untuk menjaga dan menjamin keselamatan sistem maklumat dan aplikasi. 080401 Prosedur Kawalan Perubahan Perkara-perkara yang perlu dipatuhi adalah seperti berikut: a) Perubahan atau pengubahsuaian ke atas sistem maklumat dan aplikasi hendaklah dikawal, diuji, direkodkan dan disahkan sebelum diguna pakai; b) Aplikasi kritikal perlu dikaji semula dan diuji apabila terdapat perubahan kepada sistem pengoperasian untuk memastikan tiada kesan yang buruk terhadap operasi dan keselamatan agensi. Individu atau suatu kumpulan tertentu perlu bertanggungjawab memantau penambahbaikan dan pembetulan yang dilakukan oleh vendor; c) Mengawal perubahan dan/atau pindaan ke atas pakej perisian dan memastikan sebarang perubahan adalah terhad mengikut keperluan sahaja; d) Akses kepada kod sumber (source code) aplikasi perlu dihadkan kepada pengguna yang diizinkan; dan e) Menghalang sebarang peluang untuk membocorkan maklumat. Tindakan: Pemilik Sistem dan Pentadbir Sistem ICT 080402 Pembangunan Perisian Secara Outsource Pembangunan perisian secara outsource perlu diselia dan dipantau oleh pemilik sistem. Kod sumber (source code) bagi semua aplikasi dan perisian adalah menjadi hak milik MPT. Tindakan: Bahagian Teknologi Maklumat Dan pentadbir Sistem ICT DKICT VERSI 1.1 1 JANUARI 2023 62 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0805 Kawalan Teknikal Keterdedahan (Vulnerability) Objektif adalah untuk memastikan kawalan teknikal keterdedahan adalah berkesan, sistematik dan berkala dengan mengambil langkah-langkah yang bersesuaian untuk menjamin keberkesanannya. 080501 Kawalan dari Ancaman Teknikal Kawalan teknikal keterdedahan ini perlu dilaksanakan ke atas sistem pengoperasian dan sistem aplikasi yang digunakan. Perkara yang perlu dipatuhi adalah seperti berikut: a) Memperoleh maklumat teknikal keterdedahan yang tepat pada masanya ke atas sistem maklumat yang digunakan; b) Menilai tahap pendedahan bagi mengenal pasti tahap risiko yang bakal dihadapi; dan c) Mengambil langkah-langkah kawalan untuk mengatasi risiko berkaitan. Tindakan: Pentadbir Sistem ICT DKICT VERSI 1.1 1 JANUARI 2023 63 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING BIDANG 09 PENGURUSAN PENGENDALIAN INSIDEN KESELAMATAN 0901 Mekanisme Pelaporan Insiden Keselamatan ICT Objektif adalah untuk memastikan insiden dikendalikan dengan cepat dan berkesan bagi meminimumkan insiden keselamatan ICT. 090101 Mekanisme Pelaporan Insiden keselamatan ICT bermaksud musibah (adverse event) yang berlaku ke atas aset ICT atau ancaman kemungkinan berlaku kejadian tersebut. Ia mungkin suatu perbuatan yang melanggar dasar keselamatan ICT sama ada yang ditetapkan secara tersurat atau tersirat. Insiden keselamatan ICT seperti berikut hendaklah dilaporkan kepada ICTSO dan GCERT MPT dengan kadar segera: a) Maklumat didapati hilang, didedahkan kepada pihak-pihak yang tidak diberi kuasa atau, disyaki hilang atau didedahkan kepada pihak-pihak yang tidak diberi kuasa; b) Sistem maklumat digunakan tanpa kebenaran atau disyaki sedemikian; c) Kata laluan atau mekanisme kawalan akses hilang, dicuri atau didedahkan, atau disyaki hilang, dicuri atau didedahkan; d) Berlaku kejadian sistem yang luar biasa seperti kehilangan fail, sistem kerap kali gagal dan komunikasi tersalah hantar; dan e) Ringkasan bagi semua proses kerja yang terlibat dalam pelaporan insiden keselamatan ICT di MPT sepertimana Lampiran 2. Prosedur pelaporan insiden keselamatan ICT berdasarkan: a) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi; dan b) Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi Sektor Awam. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 64 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 0902 Pengurusan Maklumat Insiden Keselamatan ICT Objektif adalah untuk memastikan pendekatan yang konsisten dan efektif digunakan dalam pengurusan maklumat insiden keselamatan ICT. 090201 Prosedur Pengurusan Maklumat Insiden Keselamatan ICT Maklumat mengenai insiden keselamatan ICT yang dikendalikan perlu disimpan dan dianalisis bagi tujuan perancangan, tindakan pengukuhan dan pembelajaran bagi mengawal kekerapan, kerosakan dan kos kejadian insiden yang akan datang. Maklumat ini juga digunakan untuk mengenal pasti insiden yang kerap berlaku atau yang memberi kesan serta impak yang tinggi kepada MPT. Bahan-bahan bukti berkaitan insiden keselamatan ICT hendaklah disimpan dan diselenggarakan. Kawalan-kawalan yang perlu diambil kira dalam pengumpulan maklumat dan pengurusan pengendalian insiden adalah seperti berikut: a) Menyimpan jejak audit, backup secara berkala dan melindungi integriti semua bahan bukti; b) Menyalin bahan bukti dan merekodkan semua maklumat aktiviti penyalinan; c) Menyediakan pelan kontingensi dan mengaktifkan pelan kesinambungan perkhidmatan; d) Menyediakan tindakan pemulihan segera; dan e) Memaklumkan atau mendapatkan nasihat pihak berkuasa perundangan sekiranya perlu. Tindakan: ICTSO DKICT VERSI 1.1 1 JANUARI 2023 65 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING BIDANG 10 PENGURUSAN KESINAMBUNGAN PERKHIDMATAN 1001 Dasar Kesinambungan Perkhidmatan Objektif adalah untuk menjamin operasi perkhidmatan agar tidak tergendala dan penyampaian yang berterusan kepada pelanggan. 100101 Pelan Kesinambungan Perkhidmatan Pelan Kesinambungan Perkhidmatan (Business Continuty Management -BCM) hendaklah dibangunkan untuk menentukan pendekatan yang menyeluruh diambil bagi mengekalkan kesinambungan perkhidmatan. Ini bertujuan memastikan tiada gangguan kepada proses-proses dalam penyediaan perkhidmatan organisasi. Pelan ini adalah Pelan Pemulihan Bencana atau Disaster Recovery Plan (DRP) mestilah diluluskan oleh JPICT MPT. Perkara-perkara berikut perlu diberi perhatian: a) Mengenal pasti semua tanggungjawab dan prosedur kecemasan atau pemulihan; b) Mengenal pasti peristiwa yang boleh mengakibatkan gangguan terhadap proses bisnes bersama dengan kemungkinan dan impak gangguan tersebut serta akibat terhadap keselamatan ICT; c) Melaksanakan prosedur-prosedur kecemasan bagi membolehkan pemulihan dapat dilakukan secepat mungkin atau dalam jangka masa yang telah ditetapkan; d) Mendokumentasikan proses dan prosedur yang telah dipersetujui; e) Mengadakan program latihan kepada pengguna mengenai prosedur kecemasan. f) Membuat backup; dan g) Menguji dan mengemas kini pelan sekurang-kurangnya setahun sekali. Tindakan: Koordinator PKP 100102 Pelan Pemulihan Bencana Pelan Pemulihan Bencana atau Disaster Recovery Plan (DRP) hendaklah dibangunkan sebagai sebahagian daripada pelan kesinambungan perkhidmatan. Pelan pemulihan bencana atau Disaster Recovery Plan (DRP) adalah untuk memastikan perkhidmatan dan operasi sistem aplikasi yang kritikal dapat diteruskan sekiranya berlaku bencana ke atas kemudahan atau infrastruktur, perkakasan dan perisian utama bagi perkhidmatan yang tersebut. DKICT VERSI 1.1 1 JANUARI 2023 66 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING Pelan Pemulihan Bencana atau Disaster Recovery Plan (DRP) mestilah mengandungi perkara-perkara yang berikut : a) Pengenalan; b) Objektif; c) Skop; d) Struktur Pelan Pemulihan Sistem Kritikal MPT; e) Prosedur sebelum bencana; f) Prosedur semasa bencana; g) Prosedur selepas bencana; dan h) Penilaian Semula Bencana. Salinan DRP perlu disimpan di lokasi berasingan untuk mengelakkan kerosakan akibat bencana di lokasi utama. DRP hendaklah diuji sekurang-kurangnya sekali setahun ataupun apabila terdapat perubahan dalam persekitaran atau fungsi bisnes untuk memastikan ia sentiasa kekal berkesan. Penilaian secara berkala hendaklah dilaksanakan untuk memastikan pelan tersebut bersesuaian dan memenuhi tujuan dibangunkan. Tindakan: Koordinator PKP DKICT VERSI 1.1 1 JANUARI 2023 67 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING BIDANG 11 PEMATUHAN 1101 Pematuhan dan Keperluan Perundangan Objektif adalah untuk meningkatkan tahap keselamatan ICT bagi mengelak dari pelanggaran Dasar Keselamatan ICT MPT. 110101 Pematuhan Dasar Setiap pengguna di MPT hendaklah membaca, memahami dan mematuhi Dasar Keselamatan ICT MPT dan undang-undang atau peraturan-peraturan lain yang berkaitan yang berkuat kuasa. Semua aset ICT di MPT termasuk maklumat yang disimpan di dalamnya adalah hak milik kerajaan. Ketua Pengarah/ Pegawai yang diberi kuasa berhak untuk memantau aktiviti pengguna untuk mengesan penggunaan selain dari tujuan yang telah ditetapkan. Sebarang penggunaan aset ICT MPT selain daripada maksud dan tujuan yang telah ditetapkan adalah merupakan satu penyalahgunaan sumber MPT Tindakan: Semua 110102 Pematuhan dengan Dasar, Piawaian dan Keperluan Teknikal ICTSO hendaklah memastikan semua prosedur keselamatan dalam bidang tugas masing-masing mematuhi dasar, piawaian dan keperluan teknikal. Sistem maklumat perlu diperiksa secara berkala bagi mematuhi standard pelaksanaan keselamatan ICT. Tindakan: ICTSO 110103 Pematuhan Keperluan Audit Pematuhan kepada keperluan audit perlu bagi meminimumkan ancaman dan memaksimumkan keberkesanan dalam proses audit sistem maklumat. Keperluan audit dan sebarang aktiviti pemeriksaan ke atas sistem operasi perlu dirancang dan dipersetujui bagi mengurangkan kebarangkalian berlaku gangguan dalam penyediaan perkhidmatan. Capaian ke atas peralatan audit sistem maklumat perlu dijaga dan diselia bagi mengelakkan berlaku penyalahgunaan. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 68 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING 110103 Keperluan Perundangan Senarai perundangan dan peraturan yang perlu dipatuhi oleh semua pengguna di MPT adalah seperti di Lampiran 3. Tindakan: Semua 110104 Pelanggaran Dasar Pelanggaran Dasar Keselamatan ICT MPT boleh dikenakan tindakan tatatertib. Tindakan: Semua DKICT VERSI 1.1 1 JANUARI 2023 69 dari 79
GLOSARI DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING Antivirus Perisian yang mengimbas virus pada media storan seperti external hard Aset ICT disk, cakera padat, pita magnetik, optical disk, flash disk, CDROM, Backup thumbdrive untuk sebarang kemungkinan adanya virus. Bandwidth Peralatan ICT termasuk perkakasan, perisian, perkhidmatan, data atau maklumat dan manusia. CIO Proses penduaan sesuatu dokumen atau maklumat. Lebar Jalur Ukuran atau jumlah data yang boleh dipindahkan Denial of service melalui kawalan komunikasi (contoh di antara cakera keras dan Downloading komputer) dalam jangka masa yang ditetapkan Encryption Ketua Pegawai Maklumat (Chief Information Officer) yang Firewall bertanggungjawab terhadap ICT dan sistem maklumat bagi menyokong arah tuju sesebuah organisasi. Forgery Halangan pemberian perkhidmatan. Aktiviti muat-turun sesuatu perisian. GCERT Enkripsi ialah satu proses penyulitan data oleh pengirim supaya tidak difahami oleh orang lain kecuali penerima yang sah. Hard disk Sistem yang direka bentuk untuk menghalang capaian pengguna yang tidak berkenaan kepada atau daripada rangkaian dalaman. Terdapat dalam bentuk perkakasan atau perisian atau kombinasi kedua-duanya. Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam penghantaran mesej melalui e-mel termasuk penyalahgunaan dan pencurian identiti, pencurian maklumat (information theft/espionage), penipuan (hoaxes). Government Computer Emergency Response Team atau Pasukan Tindak Balas Insiden Keselamatan ICT Kerajaan. Organisasi yang ditubuhkan untuk membantu agensi mengurus pengendalian insiden keselamatan ICT di agensi masing-masing dan agensi di bawah kawalannya Cakera keras, digunakan untuk menyimpan data dan boleh di akses lebih pantas. DKICT VERSI 1.1 1 JANUARI 2023 70 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING Hub Hab (hub) merupakan peranti yang menghubungkan dua atau lebih stesen kerja menjadi suatu topologi bas berbentuk bintang dan ICTSO menyiarkan (broadcast data yang diterima daripada sesuatu port yang Internet lain. ICT Security Officer Pegawai yang bertanggungjawab terhadap keselamatan sistem komputer. Sistem rangkaian seluruh dunia di mana pengguna boleh membuat capaian maklumat daripada pelayan (server) atau komputer lain. Internet Gateway Merupakan suatu titik yang berperanan sebagai pintu masuk ke rangkaian yang lain. Menjadi pemandu arah trafik dengan betul dari Intrusion Detection satu trafik ke satu trafik yang lain di samping mengekalkan trafik- System (IDS) trafik dalam rangkaian-rangkaian tersebut agar sentiasa berasingan. Sistem Pengesan Pencerobohan Perisian atau perkakasan yang Intrusion mengesan aktiviti tidak berkaitan, kesilapan atau yang berbahaya PreventionSystem kepada sistem. Sifat IDS berpandukan jenis data yang dipantau, iaitu (IPS) sama ada lebih bersifat host atau rangkaian. Sistem Pencegah Pencerobohan LAN Perkakasan keselamatan computer yang memantau rangkaian Logout dan/atau aktiviti yang berlaku dalam sistem bagi mengesan perisian berbahaya. Boleh bertindak bals menyekat atau menghalang aktiviti serangan atau malicious code. Contohnya: Network-based IPS yang akan memantau semua trafik rangkaian bagi sebarang kemungkinan serangan. Rangkaian Kawasan Setempat (Local Area Network) yang menghubungkan komputer. komputer keluar (Log-out) daripada sesuatu sistem atau aplikasi komputer Malicious Code Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya. DKICT VERSI 1.1 1 JANUARI 2023 71 dari 79
MODEM DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING Outsource MOdulator DEModulator (MODEM) Peranti yang boleh menukar strim Perisian Aplikasi bit digital ke isyarat analog dan sebaliknya. Ia biasanya disambung ke talian telefon bagi membolehkan capaian Internet dibuat dari Public-Key komputer. Infrastructure Bermaksud menggunakan perkhidmatan luar untuk melaksanakan (PKI) fungsi-fungsi tertentu ICT bagi suatu tempoh berdasarkan kepada Router dokumen perjanjian dengan bayaran yang dipersetujui. Ia merujuk pada perisian atau pakej yang selalu digunakan Screen Saver seperti Spreadsheet dan word processing ataupun sistem aplikasi yang Server dibangunkan oleh sesebuah organisasi atau jabatan. Source Code Infrastruktur Kunci Awam merupakan satu kombinasi perisian, Switches teknologi enkripsi dan perkhidmatan yang membolehkan organisasi melindungi keselamatan berkomunikasi dan transaksi melalui Internet. Threat Penghala yang digunakan untuk menghantar data antara dua rangkaian Uninterruptible yang mempunyai kedudukan rangkaian yang berlainan. Contohnya Power Supply internet. (UPS) Imej yang akan diaktifkan pada komputer setelah ianya tidak digunakan dalam jangka masa tertentu. Pelayan komputer Kod Sumber - Suruhan dalam bahasa pengaturcaraan yang dihasilkan oleh pengatur cara komputer. Suis merupakan gabungan hab dan titi yang menapis bingkai supaya mensegmenkan rangkaian. Kegunaan suis dapat memperbaiki prestasi rangkaian Carrier Sense Multiple Access/Collision Detection (CSMA/CD) yang merupakan satu protokol penghantaran dengan mengurangkan perlanggaran yang berlaku. Gangguan dan ancaman melalui pelbagai cara iaitu e-mel dan surat yang bermotif personal dan atas sebab tertentu. Satu peralatan yang digunakan bagi membekalkan bekalan kuasa yang berterusan dari sumber berlainan ketika ketiadaan bekalan kuasa keperalatan yang bersambung. DKICT VERSI 1.1 1 JANUARI 2023 72 dari 79
Video Conference DASAR KESELAMATAN ICT (DKICT) Video Streaming MAJLIS PERBANDARAN TAIPING Virus Media yang menerima dan memaparkan maklumat multimedia Wireless LAN kepada pengguna dalam masa yang sama ia diterima oleh penghantar. Teknologi komunikasi yang interaktif yang membenarkan dua atau lebih lokasi untuk berinteraksi melalui paparan video dua hala dan audio secara serentak. Atur cara yang bertujuan merosakkan data atau sistem aplikasi. Jaringan komputer yang terhubung tanpa melalui kabel. DKICT VERSI 1.1 1 JANUARI 2023 73 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING LAMPIRAN 1 DKICT VERSI 1.1 1 JANUARI 2023 74 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING LAMPIRAN 2 Rajah 1: Ringkasan Proses Kerja Pelaporan Insiden Keselamatan ICT DKICT VERSI 1.1 1 JANUARI 2023 75 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING DKICT VERSI 1.1 1 JANUARI 2023 76 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING DKICT VERSI 1.1 1 JANUARI 2023 77 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING DKICT VERSI 1.1 1 JANUARI 2023 78 dari 79
DASAR KESELAMATAN ICT (DKICT) MAJLIS PERBANDARAN TAIPING LAMPIRAN 3 Senarai Perundangan dan Peraturan a) Arahan Keselamatan; b) Pekeliling Am Bilangan 3 Tahun 2000 - Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan; c) Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS) 2002; d) Pekeliling Am Bilangan 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT); e) Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 - Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel Elektronik di Agensi-Agensi Kerajaan; f) Surat Pekeliling Am Bilangan 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam; g) Surat Pekeliling Am Bilangan 4 Tahun 2006 - Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat dan Komunikasi (ICT) Sektor Awam; h) Surat Arahan Ketua Setiausaha Negara - Langkah-Langkah Untuk Memperkukuhkan Keselamatan Rangkaian Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi-Agensi Kerajaan yang bertarikh 20 Oktober 2006; i) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Mengenai Penggunaan Mel Elektronik di Agensi- Agensi Kerajaan yang bertarikh 1 Jun 2007; j) Surat Arahan Ketua Pengarah MAMPU - Langkah-Langkah Pemantapan Pelaksanaan Sistem Mel Elektronik di Agensi-Agensi Kerajaan yang bertarikh 23 November 2007; k) Surat Pekeliling Am Bil. 2 Tahun 2000 - Peranan jawatankuasa-jawatankuasa di bawahJawatankuasa IT dan Internet Kerajaan (JITIK); l) Surat Pekeliling Perbendaharaan Bil.2/1995 (Tambahan Pertama) – Tatacara Penyediaan, Penilaian dan Penerimaan Tender; m) Surat Pekeliling Perbendaharaan Bil. 3/1995 - Peraturan Perolehan Perkhidmatan Perundingan; n) Akta Tandatangan Digital 1997; o) Akta Rahsia Rasmi 1972; p) Akta Jenayah Komputer 1997; q) Akta Hak Cipta (Pindaan) Tahun 1997; r) Akta Komunikasi dan Multimedia 1998; s) Arahan Perbendeharaan 2008 DKICT VERSI 1.1 1 JANUARI 2023 79 dari 79
Search
